Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32021D1093

Décision (UE) 2021/1093 du Conseil du 28 juin 2021 fixant des dispositions d’application concernant le délégué à la protection des données du Conseil, l’application du règlement (UE) 2018/1725 du Parlement européen et du Conseil et les limitations des droits des personnes concernées dans le contexte de l’exécution des missions du délégué à la protection des données du Conseil, et abrogeant la décision 2004/644/CE du Conseil

ST/9148/2021/INIT

JO L 236 du 5.7.2021, p. 55–68 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2021/1093/oj

5.7.2021   

FR

Journal officiel de l’Union européenne

L 236/55


DÉCISION (UE) 2021/1093 DU CONSEIL

du 28 juin 2021

fixant des dispositions d’application concernant le délégué à la protection des données du Conseil, l’application du règlement (UE) 2018/1725 du Parlement européen et du Conseil et les limitations des droits des personnes concernées dans le contexte de l’exécution des missions du délégué à la protection des données du Conseil, et abrogeant la décision 2004/644/CE du Conseil

LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 240, paragraphe 3,

vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 45, paragraphe 3,

considérant ce qui suit:

(1)

Le règlement (UE) 2018/1725 définit les principes et les règles applicables à toutes les institutions et organes de l’Union et prévoit la désignation, par chaque institution ou organe de l’Union, d’un délégué à la protection des données.

(2)

L’article 45, paragraphe 3, du règlement (UE) 2018/1725 exige que des dispositions d’application concernant le délégué à la protection des données soient adoptées par chaque institution ou organe de l’Union (ci-après dénommées «dispositions d’application»). Les dispositions d’application devraient concerner en particulier les missions, les fonctions et les compétences du délégué à la protection des données du Conseil et du secrétariat général du Conseil (ci-après dénommé «DPD»).

(3)

Les dispositions d’application devraient fixer les procédures permettant aux personnes concernées d’exercer leurs droits et à tous les intervenants concernés au sein du Conseil et du secrétariat général du Conseil (SGC) de remplir leurs obligations en ce qui concerne le traitement des données à caractère personnel.

(4)

Le règlement (UE) 2018/1725 prévoit des responsabilités claires pour les responsables du traitement, notamment en ce qui concerne les droits des personnes concernées. Les dispositions d’application devraient garantir que le Conseil et le SGC s’acquittent de leurs responsabilités en tant que responsable du traitement de manière uniforme et transparente. Il convient de définir des règles permettant de déterminer qui est responsable d’une opération de traitement effectuée au nom du Conseil ou du SGC. Il convient, à cet égard, d’introduire le concept de «responsable délégué du traitement» afin d’indiquer de façon précise les responsabilités des entités du SGC, en particulier en ce qui concerne les décisions individuelles relatives aux droits des personnes concernées. Il convient en outre d’introduire le concept de «responsable opérationnel du traitement», qui sera chargé, sous la responsabilité du responsable délégué du traitement, de veiller au respect de la réglementation dans la pratique et de traiter les demandes des personnes concernées relatives à une opération de traitement. Afin d’indiquer de façon précise les responsabilités au sein du SGC pour chaque activité de traitement, le responsable opérationnel du traitement devrait être mentionné avec précision dans le registre. La nomination d’un responsable opérationnel du traitement n’empêche pas l’utilisation, dans la pratique, d’un point de contact, sous la forme, par exemple, de la mise à disposition d’une boîte de courrier électronique fonctionnelle pour les demandes des personnes concernées.

(5)

Dans certains cas, plusieurs directions générales ou services du SGC effectuent conjointement une opération de traitement afin d’accomplir leur mission. En pareils cas, ils devraient veiller à ce que des arrangements internes soient pris pour déterminer, de manière transparente, leurs responsabilités respectives au titre du règlement (UE) 2018/1725, en particulier en ce qui concerne les droits des personnes concernées, la notification au Contrôleur européen de la protection des données (CEPD) et la tenue de registres.

(6)

Afin de faciliter l’exercice des responsabilités des responsables délégués du traitement, il y a lieu que chaque direction générale ou autre service du SGC nomme un coordinateur de la protection des données. Les coordinateurs de la protection des données devraient assister la direction générale ou l’autre service du SGC dans tous les aspects de la protection des données à caractère personnel et participer au réseau des coordinateurs de la protection des données du SGC pour garantir une mise en œuvre et une interprétation cohérentes du règlement (UE) 2018/1725.

(7)

En vertu de l’article 45, paragraphe 1, point b), du règlement (UE) 2018/1725, le DPD pourrait émettre des orientations supplémentaires concernant la fonction de coordinateur de la protection des données.

(8)

L’article 25, paragraphe 1, du règlement (UE) 2018/1725 donne à chaque institution ou organe de l’Union la possibilité de limiter l’application des articles 14 à 17, 19, 20 et 35 dudit règlement, ainsi que du principe de transparence consacré à l’article 4, paragraphe 1, point a), dudit règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19 et 20 dudit règlement.

(9)

Dans certains cas, le DPD peut devoir limiter les droits des personnes concernées afin d’accomplir les missions de contrôle, d’enquête, d’audit ou de consultation prévues à l’article 45 du règlement (UE) 2018/1725, tout en respectant les normes de protection des données à caractère personnel prévues par ledit règlement. Il est nécessaire d’adopter des règles internes en vertu desquelles le DPD peut limiter les droits des personnes concernées conformément à l’article 25 dudit règlement (ci-après dénommées «règles internes»).

(10)

Les règles internes devraient s’appliquer à toutes les opérations de traitement de données effectuées par le Conseil et le SGC dans l’accomplissement des missions de contrôle, d’enquête, d’audit ou de consultation du DPD. Les règles internes devraient également s’appliquer aux opérations de traitement qui relèvent des missions liées à la fonction d’enquête ou d’audit du DPD, telles que le traitement des plaintes par ce dernier. Les règles internes devraient aussi s’appliquer aux missions de contrôle du DPD, ainsi qu’à ses missions de consultation, lorsqu’il fournit une assistance aux directions générales du SGC et aux services du SGC, et coopère avec ceux-ci, en dehors du cadre de ses enquêtes administratives et de ses audits.

(11)

Le Conseil et le SGC peuvent devoir appliquer des limitations sur la base des motifs visés à l’article 25, paragraphe 1, points c), g) et h), du règlement (UE) 2018/1725 aux opérations de traitement de données effectuées dans le cadre des missions de contrôle, d’enquête, d’audit ou de consultation du DPD lorsque cela est nécessaire pour protéger les missions du DPD, les enquêtes et procédures connexes, les outils et les méthodes d’enquête et d’audit du DPD, ainsi que les droits d’autres personnes en rapport avec les missions du DPD.

(12)

Afin de maintenir une coopération efficace, le Conseil et le SGC peuvent devoir appliquer des limitations aux droits des personnes concernées afin de protéger les informations contenant des données à caractère personnel provenant d’autres directions générales et services du SGC ou d’autres institutions ou organes de l’Union. À cet effet, le DPD devrait consulter ces directions générales et services ou autres institutions ou organes sur les motifs pertinents justifiant l’application de limitations, ainsi que sur la nécessité et le caractère proportionné de telles limitations.

(13)

Le DPD et, s’il y a lieu, les directions générales et services du SGC devraient traiter toutes les limitations d’une manière transparente et consigner chaque application de limitations dans le registre correspondant.

(14)

En vertu de l’article 25, paragraphe 8, du règlement (UE) 2018/1725, les responsables du traitement peuvent différer ou omettre la communication des raisons de l’application d’une limitation à la personne concernée, si cela compromet l’objectif de la limitation d’une quelconque manière. En particulier, lorsqu’une limitation des droits prévus aux articles 16 et 35 dudit règlement est appliquée, la notification d’une telle limitation compromettrait l’objectif la limitation. Afin de garantir que le droit de la personne concernée d’être informée conformément à ces articles n’est limité qu’aussi longtemps que les raisons du report persistent, le DPD ou la direction générale ou le service du SGC qui applique la limitation devrait régulièrement réexaminer sa position.

(15)

Lorsque d’autres droits des personnes concernées sont limités, le DPD devrait évaluer, au cas par cas, si la communication de la limitation compromettrait l’objectif de celle-ci.

(16)

Le DPD devrait procéder à un réexamen indépendant de l’application, par d’autres directions générales ou services du SGC, de limitations fondées sur la présente décision afin de garantir le respect de cette dernière.

(17)

Toute limitation appliquée sur la base de la présente décision devrait être nécessaire et proportionnée dans une société démocratique.

(18)

Le CEPD a été informé et consulté conformément à l’article 41, paragraphes 1 et 2, du règlement (UE) 2018/1725 et a rendu un avis (2).

(19)

Les dispositions d’application du règlement (UE) 2018/1725 sont sans préjudice du règlement (CE) no 1049/2001 du Parlement européen et du Conseil (3), de la décision 2004/338/CE, Euratom du Conseil (4), et notamment de son annexe II, de la décision 2013/488/UE (5) du Conseil, et notamment de sa section VI, partie II, ainsi que de la décision du secrétaire général du Conseil/haut représentant pour la politique étrangère et de sécurité commune du 25 juin 2001 (6).

(20)

La décision 2004/644/CE du Conseil (7) établit des dispositions d’application en ce qui concerne le règlement (CE) no 45/2001 du Parlement européen et du Conseil. Le règlement (UE) 2018/1725 a abrogé le règlement (CE) no 45/2001 avec effet au 11 décembre 2019. Afin de garantir qu’un seul ensemble de dispositions d’application soit applicable, il convient d’abroger la décision 2004/644/CE,

A ADOPTÉ LA PRÉSENTE DÉCISION:

SECTION 1

DISPOSITIONS GÉNÉRALES

Article premier

Objet et champ d’application

1.   La présente décision fixe des règles et des procédures pour l’application du règlement (UE) 2018/1725 par le Conseil et le secrétariat général du Conseil (SGC) et énonce des dispositions d’application complémentaires concernant le délégué à la protection des données du Conseil (DPD).

2.   La présente décision fixe les règles que le Conseil et le SGC doivent suivre, en rapport avec les missions de contrôle, d’enquête, d’audit ou de consultation du DPD, lorsqu’ils informent les personnes concernées du traitement de leurs données à caractère personnel conformément aux articles 14, 15 et 16 du règlement (UE) 2018/1725.

3.   La présente décision fixe les conditions dans lesquelles le Conseil et le SGC peuvent, en rapport avec les activités de contrôle, d’enquête, d’audit ou de consultation du DPD, limiter l’application des articles 4, 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, conformément à l’article 25, paragraphe 1, points c), g) et h), dudit règlement.

4.   La présente décision s’applique au traitement de données à caractère personnel par le Conseil et le SGC aux fins des missions du DPD visées à l’article 45 du règlement (UE) 2018/1725 ou en rapport avec celles-ci.

Article 2

Responsabilité du traitement

Aux fins de la présente décision, le Conseil et le SGC sont considérés comme étant le responsable du traitement au sens de l’article 3, point 8), du règlement (UE) 2018/1725.

Article 3

Définitions

Aux fins de la présente décision, on entend par:

1)

«délégué à la protection des données» (DPD): la personne désignée par le secrétaire général du Conseil conformément à l’article 43 du règlement (UE) 2018/1725;

2)

«missions du DPD»: les missions visées à l’article 45 du règlement (UE) 2018/1725;

3)

«personnel du SGC»: l’ensemble des fonctionnaires du SGC et toute autre personne soumise au statut des fonctionnaires de l’Union européenne et au régime applicable aux autres agents de l’Union, établis dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (8) (ci-après dénommé «statut»), ou travaillant pour le SGC sur une base contractuelle (à savoir stagiaires, consultants, contractants, fonctionnaires détachés par les États membres);

4)

«responsable délégué du traitement»: la personne à la tête de la direction générale ou d’un service du SGC qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel effectué au nom du Conseil ou du SGC dans l’accomplissement de la mission de ladite direction générale ou dudit service;

5)

«responsable opérationnel du traitement»: le membre du personnel d’encadrement intermédiaire ou supérieur du SGC qui est désigné par le responsable délégué du traitement pour l’aider à garantir le respect du règlement (UE) 2018/1725 pour les opérations de traitement dont il est responsable et servir de point de contact principal pour les personnes concernées;

6)

«coordinateur de la protection des données»: le membre du personnel du SGC désigné au sein de chaque direction générale ou autre service du SGC, en consultation avec le DPD, pour assister ladite direction générale ou ledit service dans tous les aspects de la protection des données à caractère personnel et pour traiter, en tant que son représentant, les questions de protection des données en étroite coopération avec le DPD.

SECTION 2

DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Article 4

Désignation et statut du DPD

1.   Le secrétaire général du Conseil désigne le DPD parmi le personnel du SGC et en avise le contrôleur européen de la protection des données (CEPD), conformément à l’article 43 du règlement (UE) 2018/1725.

2.   Le DPD est sélectionné sur la base de ses qualités professionnelles, en particulier de ses connaissances spécialisées en droit et pratiques en matière de protection des données, et de sa capacité de s’acquitter des missions visées à l’article 45 du règlement (UE) 2018/1725. Le DPD a également une bonne connaissance du SGC, de sa structure et de ses règles et procédures administratives. Aux fins de l’accomplissement de ses missions, le DPD est déchargé de toute autre tâche au sein du SGC.

3.   Le DPD est désigné pour une période de cinq ans et son mandat est renouvelable.

4.   Le DPD et son personnel sont directement rattachés au secrétaire général du Conseil et rendent compte directement à celui-ci.

5.   Dans l’accomplissement de ses missions, le DPD agit de manière indépendante et ne reçoit aucune instruction du secrétaire général du Conseil, des responsables délégués du traitement ou des responsables opérationnels du traitement ni de qui que ce soit d’autre en ce qui concerne l’application interne des dispositions du règlement (UE) 2018/1725 ou sa coopération avec le CEPD.

6.   Le Conseil et le SGC aident le DPD à exercer les missions visées à l’article 45 du règlement (UE) 2018/1725 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d’entretenir ses connaissances spécialisées.

7.   Le DPD ne peut être relevé de ses fonctions ni pénalisé pour l’exercice de ses missions. Le DPD ne peut être relevé de ses fonctions qu’en application de l’article 44, paragraphe 8, du règlement (UE) 2018/1725. Aux fins d’obtenir le consentement du CEPD à une telle destitution en application dudit article, le CEPD est consulté par écrit. Une copie de ce consentement est transmise au DPD.

8.   Le SGC, en particulier les responsables délégués du traitement et les responsables opérationnels du traitement, veillent à ce que le DPD soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

Article 5

Missions et fonctions

1.   Le DPD exerce les missions prévues à l’article 45 du règlement (UE) 2018/1725. En particulier, le DPD:

a)

veille à l’application et à la mise en œuvre du règlement (UE) 2018/1725 par le Conseil et le SGC, et contrôle le respect dudit règlement et du cadre juridique applicable en matière de protection des données à caractère personnel;

b)

conseille le secrétaire général du Conseil, les responsables délégués du traitement et les responsables opérationnels du traitement sur les aspects concernant l’application des dispositions relatives à la protection des données;

c)

conseille et assiste les responsables délégués du traitement et les responsables opérationnels du traitement lorsqu’une analyse d’impact relative à la protection des données est effectuée conformément aux articles 39 et 40 du règlement (UE) 2018/1725;

d)

veille à ce que les opérations de traitement ne portent pas atteinte aux droits et libertés des personnes concernées;

e)

sensibilise au cadre juridique applicable en matière de protection des données à caractère personnel et contribue à créer une culture de la protection des données à caractère personnel au sein du SGC.

Le DPD peut être consulté par le secrétaire général du Conseil, par les responsables du traitement concernés, par le comité du personnel ou par toute personne, sans passer par les voies officielles, sur toute question concernant l’application ou la mise en œuvre du règlement (UE) 2018/1725.

2.   Le DPD tient un registre des relevés d’activités de traitement et le rend accessible au public, conformément à l’article 12.

3.   Le DPD tient un registre interne des violations de données à caractère personnel au sens de l’article 3, point 16), du règlement (UE) 2018/1725.

4.   Le DPD conseille le responsable délégué du traitement, sur demande, sur l’application d’une limitation de l’application des articles 14 à 22, des articles 35 et 36, ainsi que de l’article 4 du règlement (UE) 2018/1725.

5.   Le DPD organise et préside les réunions périodiques des coordinateurs de la protection des données.

6.   Le DPD présente au secrétaire général du Conseil un rapport annuel sur ses activités, qu’il rend accessible au personnel du SGC.

7.   Le DPD coopère avec les délégués à la protection des données désignés par les autres institutions et organes de l’Union et assiste régulièrement aux réunions convoquées par le CEPD ou les délégués à la protection des données des autres institutions et organes de l’Union en vue de faciliter une bonne coopération, notamment par l’échange d’expériences et de bonnes pratiques.

8.   Le DPD est considéré comme étant le responsable délégué du traitement pour les opérations de traitement effectuées dans l’exercice de ses fonctions.

Article 6

Compétences

Dans l’exercice de ses missions et fonctions, le DPD:

a)

a accès, à tout moment, aux données qui font l’objet des opérations de traitement, à tous les locaux, à toutes les installations de traitement de données et à tous les supports d’information;

b)

peut solliciter des avis juridiques au service juridique du Conseil;

c)

peut solliciter un autre soutien de la part des directions générales et services pertinents du SGC;

d)

peut attribuer des dossiers aux directions générales et services du SGC concernés en vue d’un suivi approprié;

e)

peut mener des enquêtes, sur demande ou de sa propre initiative, sur des questions et des faits qui sont directement en rapport avec les missions de DPD conformément à la procédure prévue à l’article 14;

f)

peut proposer des mesures administratives au secrétaire général du Conseil et formuler des recommandations générales sur l’application appropriée du règlement (UE) 2018/1725;

g)

peut formuler des recommandations en vue de l’amélioration pratique de l’application du règlement (UE) 2018/1725 au SGC, aux responsables délégués du traitement et aux responsables opérationnels du traitement, y compris:

i)

inviter le responsable délégué du traitement ou le sous-traitant à satisfaire à une demande présentée par une personne concernée en vue d’exercer ses droits en application du règlement (UE) 2018/1725;

ii)

adresser des avertissements au responsable délégué du traitement ou au sous-traitant lorsqu’une opération de traitement viole les dispositions du règlement (UE) 2018/1725 et l’inviter à mettre l’opération de traitement en conformité avec les dispositions dudit règlement, le cas échéant, d’une manière déterminée et dans un délai déterminé;

iii)

inviter le responsable délégué du traitement ou le sous-traitant à suspendre les flux de données vers un destinataire situé dans un État membre ou un pays tiers ou à une organisation internationale;

iv)

demander au responsable délégué du traitement ou au sous-traitant de l’informer, dans un délai imparti, des suites données à sa recommandation ou à son conseil;

h)

peut faire appel aux services d’experts externes en technologies de l’information et de la communication, après accord préalable de l’ordonnateur, conformément au règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (9);

i)

est invité aux conseils d’administration et comités pertinents du SGC chaque fois que des questions relatives au traitement des données à caractère personnel sont examinées et peut proposer des points pertinents à l’ordre du jour de ces conseils et comités;

j)

peut porter à l’attention de l’autorité investie du pouvoir de nomination du SGC tout manquement d’un membre du personnel du SGC aux obligations auxquelles il est tenu en vertu du règlement (UE) 2018/1725 et proposer qu’une enquête administrative soit lancée en vue de l’application éventuelle des sanctions prévues à l’article 69 dudit règlement;

k)

est responsable des décisions initiales concernant les demandes d’accès à des documents détenus par son service en vertu du règlement (CE) no 1049/2001, en consultation avec les services compétents du SGC.

SECTION 3

DROITS ET OBLIGATIONS DES INTERVENANTS DANS LE DOMAINE DE LA PROTECTION DES DONNÉES

Article 7

Consultation et information du DPD

1.   Les responsables du traitement associent le DPD à la planification et à l’examen d’une activité qui implique le traitement de données à caractère personnel. Le DPD est informé de toute opération de traitement ainsi que de toute modification substantielle d’une opération de traitement existante.

2.   Le DPD est informé des projets de notes internes et de décisions du SGC directement liées à l’application interne du règlement (UE) 2018/1725.

3.   Le DPD est informé de tous les contacts avec des parties extérieures en ce qui concerne l’application interne du règlement (UE) 2018/1725 et de toute interaction avec le CEPD, en particulier lorsque ce dernier est consulté ou informé conformément aux articles 40 et 41 dudit règlement.

4.   Le DPD est consulté sur les projets d’arrangements entre responsables conjoints du traitement et sur les projets de clauses contractuelles relatives à la protection des données ou d’autres actes juridiques lorsque des données à caractère personnel sont traitées par un sous-traitant.

Article 8

Responsables délégués du traitement

1.   Les responsables délégués du traitement sont chargés de veiller à ce que toutes les opérations de traitement effectuées sous leur contrôle soient conformes au règlement (UE) 2018/1725.

2.   En particulier, les responsables délégués du traitement:

a)

désignent un responsable opérationnel du traitement pour les aider à assurer le respect du règlement (UE) 2018/1725, notamment à l’égard des personnes concernées;

b)

tiennent le relevé des activités de traitement relevant de leur responsabilité et veillent à ce que le relevé et la déclaration de confidentialité y afférente soient soumis par le responsable opérationnel du traitement au DPD en vue de leur inscription au registre visé à l’article 12;

c)

sont responsables des activités des sous-traitants et sous-traitants ultérieurs qui traitent des données à caractère personnel en leur nom et veillent à ce que le traitement soit régi par un contrat ou un autre acte juridique conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725.

3.   Les responsables délégués du traitement veillent à ce que le DPD soit associé en temps utile à toutes les questions relatives aux données à caractère personnel et mettent en place tous les arrangements nécessaires pour veiller à ce que le coordinateur de la protection des données soit dûment associé à toutes les questions liées à la protection des données au sein de leur direction générale ou autre service du SGC.

4.   Les responsables délégués du traitement veillent à ce que des mesures techniques et organisationnelles appropriées soient en place pour démontrer que les activités de traitement sont conformes au règlement (UE) 2018/1725 et donnent des instructions adéquates au personnel du SGC pour garantir à la fois la confidentialité du traitement et un niveau de sécurité adapté aux risques présentés par le traitement. Ils peuvent consulter le DPD lors de la sélection de ces mesures.

5.   Les responsables délégués du traitement rendent compte au DPD sur le traitement de toute demande émanant d’une personne concernée en vue de l’exercice de ses droits et aident le DPD et le CEPD dans l’exercice de leurs fonctions respectives, notamment en fournissant des informations en réponse à leurs demandes dans un délai de 30 jours.

6.   Les responsables délégués du traitement sont responsables de l’application d’une limitation de l’application des articles 14 à 22, de l’article 35 et de l’article 36 du règlement (UE) 2018/1725, ainsi que de l’article 4 dudit règlement, conformément aux règles internes applicables. Les responsables délégués du traitement associent le DPD tout au long de la procédure lorsqu’ils appliquent une telle limitation.

7.   Les responsables délégués du traitement veillent à ce que des arrangements internes soient pris avec d’autres directions générales ou services du SGC pour le cas où le responsable délégué du traitement effectue des opérations de traitement conjointement avec ces directions générales ou services du SGC ou que ces derniers effectuent une partie de l’opération de traitement du responsable délégué du traitement.

Les arrangements visés au premier alinéa déterminent les responsabilités respectives des responsables délégués du traitement et des autres directions générales ou services du SGC en ce qui concerne le respect des obligations en matière de protection des données. Plus particulièrement, ces arrangements précisent l’identité du responsable délégué du traitement qui détermine les moyens et les finalités de l’opération de traitement ainsi que celle du responsable opérationnel du traitement, et indiquent, s’il y a lieu, les personnes ou les entités qui aident le responsable opérationnel du traitement, entre autres, à recueillir des informations en cas de violations de données ou à tenir compte des droits des personnes concernées.

Article 9

Responsables opérationnels du traitement

1.   Les responsables opérationnels du traitement aident le responsable délégué du traitement à veiller au respect du règlement (UE) 2018/1725 pour les opérations de traitement dont il est responsable et servent de point de contact principal pour les personnes concernées.

2.   En particulier, les responsables opérationnels du traitement:

a)

reçoivent et traitent toutes les demandes de personnes concernées;

b)

préparent le relevé des activités de traitement relevant de leur responsabilité et la déclaration de confidentialité y afférente, en consultation avec le coordinateur de la protection des données;

c)

veillent à ce que les contrats ou autres actes juridiques régissant le traitement de données à caractère personnel par un sous-traitant soient conformes au règlement (UE) 2018/1725 et consultent le DPD sur les projets de clauses contractuelles relatives à la protection des données;

d)

veillent à ce que la documentation soit disponible pour démontrer la conformité avec le règlement (UE) 2018/1725.

3.   Les responsables opérationnels du traitement informent le DPD des violations de données à caractère personnel dans les meilleurs délais et lui fournissent toutes les informations nécessaires pour lui permettre de veiller à ce que le Conseil se conforme aux obligations qui lui incombent concernant les violations de données à caractère personnel visées aux articles 34 et 35 du règlement (UE) 2018/1725.

4.   En coordination avec le responsable délégué du traitement et le DPD, les responsables opérationnels du traitement notifient au CEPD les violations de données à caractère personnel, le cas échéant. Ils informent également les personnes concernées, le cas échéant.

5.   Les responsables opérationnels du traitement veillent à ce que le coordinateur de la protection des données soit tenu informé de toutes les questions relatives à la protection des données.

6.   Les responsables opérationnels du traitement évaluent les risques pour les droits et libertés de la personne concernée liés aux opérations de traitement dont ils sont responsables et effectuent, le cas échéant, une analyse d’impact relative à la protection des données. Les responsables opérationnels du traitement demandent conseil au DPD lorsqu’ils effectuent ces analyses d’impact et lui demandent conseil quant à la nécessité d’une consultation préalable, conformément aux articles 39 et 40 du règlement (UE) 2018/1725.

7.   Les responsables opérationnels du traitement exécutent, à la demande du responsable délégué du traitement, toute autre tâche relevant du champ d’application de la présente décision.

Article 10

Coordinateurs de la protection des données

1.   Chaque direction générale ou autre service du SGC nomme, en consultation avec le DPD, un ou plusieurs coordinateurs de la protection des données pour assister le responsable délégué du traitement et le responsable opérationnel du traitement en son sein dans tous les aspects liés à la protection des données à caractère personnel.

2.   Les coordinateurs de la protection des données sont choisis sur la base de leur connaissance et de leur expérience du fonctionnement de la direction générale ou de l’autre service du SGC concerné, de leur aptitude pour cette fonction, de leurs compétences en matière de protection des données, de leur connaissance des principes qui régissent les systèmes d’information et de leurs aptitudes à la communication. Les coordinateurs de la protection des données nouvellement nommés suivent une formation afin d’acquérir les compétences nécessaires à l’exercice de leur fonction dans les six mois suivant leur nomination. Un coordinateur de la protection des données qui a précédemment travaillé personne de contact dans une autre direction générale ou un autre service du SGC dans les deux années précédant sa nomination sont exemptés de cette obligation de formation.

3.   La fonction de coordinateur de la protection des données fait partie de la description de poste de chaque membre du personnel du SGC nommé comme personne de contact. Le rapport d’évaluation annuel fait mention de leurs responsabilités et réalisations.

4.   Les coordinateurs de la protection des données sont associés de manière appropriée et en temps utile à toutes les questions liées à la protection des données au sein de leur direction générale ou autre service du SGC et exercent leurs fonctions en étroite coopération avec le DPD.

5.   Les coordinateurs de la protection des données ont le droit de recueillir auprès des responsables du traitement et auprès du personnel les informations adéquates et nécessaires requises pour l’accomplissement de leurs missions au sein de leur direction générale ou autre service du SGC. Cela n’inclut pas l’accès aux données à caractère personnel traitées sous la responsabilité du responsable délégué du traitement. Les coordonnateurs de la protection des données n’ont accès aux données à caractère personnel que si cela est nécessaire à l’accomplissement de leurs missions.

6.   Les coordinateurs de la protection des données sensibilisent aux questions relatives à la protection des données et aident les responsables délégués du traitement au sein de leur direction générale ou autre service du SGC à respecter leurs obligations, notamment en ce qui concerne:

a)

la mise en œuvre du règlement (UE) 2018/1725;

b)

l’identification des responsables opérationnels du traitement, et l’élaboration des relevés d’opérations de traitement et des déclarations de confidentialité avant leur présentation au DPD;

c)

la compilation d’une liste de toutes les opérations de traitement existantes de la direction générale ou de l’autre service du SGC.

7.   Les coordinateurs de la protection des données aident les responsables opérationnels du traitement au sein de leur direction générale ou autre service du SGC à s’acquitter des obligations qui leur incombent, notamment en ce qui concerne:

a)

l’élaboration des relevés d’opérations de traitement et des déclarations de confidentialité avant leur présentation au DPD;

b)

la documentation du traitement;

c)

le traitement des demandes des personnes concernées;

d)

le traitement des violations de données.

Article 11

Personnel du SGC

Le personnel du SGC contribue à assurer l’application et la mise en œuvre du règlement (UE) 2018/1725. Le personnel du SGC n’a pas accès aux données à caractère personnel ni ne traite de telles données autrement que sur instruction du responsable délégué du traitement ou du responsable opérationnel du traitement, sauf si le droit de l’Union ou de l’État membre le requiert.

SECTION 4

AUTRES OBLIGATIONS ET PROCÉDURES

Article 12

Registre

1.   Le DPD tient un registre des opérations de traitement et veille à ce que ce registre soit accessible depuis son site internet sur l’intranet du SGC et depuis le site internet du Conseil.

2.   Le responsable opérationnel du traitement notifie au DPD tout traitement de données à caractère personnel et présente le relevé d’activités de traitement et la déclaration de confidentialité correspondante au moyen d’un formulaire disponible sur le site intranet du SGC (sous «Protection des données»). La notification se fait par voie électronique. Après consultation avec le DPD, le responsable délégué du traitement confirme le relevé et la déclaration de confidentialité correspondante, et le DPD les publie au registre.

3.   Le relevé contient toutes les informations visées à l’article 31 du règlement (UE) 2018/1725. Toutefois, les informations portées au registre par le DPD peuvent exceptionnellement être limitées à ce qui est nécessaire pour garantir la sécurité d’une opération de traitement donnée. Le DPD est informé rapidement par le responsable opérationnel du traitement de tout changement affectant ces informations.

Article 13

Violations de données

1.   En cas de violation de données à caractère personnel, le responsable délégué du traitement ou le responsable opérationnel du traitement sollicite l’assistance du coordinateur de la protection des données et informe le DPD de l’incident dans les meilleurs délais et lui fournit toutes les informations nécessaires lui permettant de s’assurer que le Conseil respecte les obligations en matière de notification et de communication des violations de données à caractère personnel en vertu des articles 34 et 35 du règlement (UE) 2018/1725.

2.   Le DPD établit et tient à jour un registre interne des violations de données à caractère personnel. Les responsables délégués du traitement et les responsables opérationnels du traitement fournissent les informations nécessaires devant être portées au registre.

3.   Les responsables délégués du traitement et les responsables opérationnels du traitement préparent la notification au CEPD en consultation avec le DPD, sauf s’il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques.

Article 14

Enquêtes

1.   Le DPD peut, de sa propre initiative ou à la demande du responsable délégué du traitement, du responsable opérationnel du traitement, du sous-traitant, du comité du personnel ou de toute personne, enquêter sur des questions et des faits qui sont en rapport avec ses missions, et rendre compte à la personne qui a demandé cette enquête ou au responsable délégué du traitement, au responsable opérationnel du traitement ou au sous-traitant.

2.   Les demandes d’enquête sont adressées au DPD par écrit. En cas d’abus manifeste du droit de demander une enquête, par exemple si une même personne a fait une demande identique récemment, le délégué n’est pas obligé de rendre compte au demandeur.

3.   Dans les quinze jours suivant la réception de la demande d’enquête, le DPD envoie un accusé de réception à la personne qui a formulé la demande et vérifie si la demande doit être traitée de manière confidentielle.

4.   Le DPD demande au responsable délégué du traitement des données qui est responsable de l’opération de traitement de données objet de la demande d’enquête afin de fournir un rapport sur la question. Le responsable délégué du traitement répond dans les quinze jours. Le DPD peut demander des informations complémentaires au responsable délégué du traitement ou au responsable opérationnel du traitement, au sous-traitant ou à d’autres services compétents du SGC. S’il y a lieu, il peut demander un avis sur la question au service juridique du Conseil. Les informations demandées ou l’avis demandé lui sont communiqués dans les 30 jours.

5.   Le DPD rend compte à la personne qui a fait la demande d’enquête trois mois au plus tard après réception de celle-ci. Ce délai peut être suspendu jusqu’à ce que le DPD ait obtenu toutes les informations nécessaires qu’il a pu demander.

6.   Nul ne subit de préjudice pour avoir porté à l’attention du DPD un fait dont il allègue qu’il constitue une violation du règlement (UE) 2018/1725.

Article 15

Règles générales pour l’exercice des droits des personnes concernées

1.   Les droits de la personne concernée établis aux articles 14 à 24 du règlement (UE) 2018/1725 ne peuvent être exercés que par la personne concernée ou par son représentant dûment mandaté.

2.   La personne concernée adresse sa demande par écrit au responsable opérationnel du traitement, avec copie au DPD. Si nécessaire, le DPD aide la personne concernée à identifier le responsable opérationnel du traitement. La demande peut être adressée sous forme électronique et contient:

a)

le nom, le prénom et les coordonnées de la personne concernée et la date de la demande;

b)

une indication du droit exercé et, le cas échéant, les pièces justificatives relatives à la demande;

c)

la ou les catégories de données à caractère personnel concernées.

3.   Le responsable opérationnel du traitement envoie un accusé de réception à la personne concernée de la demande dans les cinq jours ouvrables suivant l’enregistrement de celle-ci. Le responsable opérationnel du traitement demande les éclaircissements nécessaires en cas de demande imprécise ou incomplète. Les délais applicables prévus à l’article 14, paragraphes 3 et 4, du règlement (UE) 2018/1725 ne commencent pas à courir tant que les éclaircissements nécessaires n’ont pas été apportés.

4.   Le responsable opérationnel du traitement vérifie l’identité de la personne concernée conformément à l’article 14, paragraphe 6, du règlement (UE) 2018/1725. Durant la vérification de l’identité, les délais applicables prévus à l’article 14, paragraphes 3 et 4, dudit règlement ne commencent pas à courir.

5.   Le responsable opérationnel du traitement soit réserve une suite favorable à la personne concernée soit communique par écrit les raisons du rejet total ou partiel, dans les délais prévus à l’article 14, paragraphes 3 et 4, du règlement (UE) 2018/1725.

6.   Dans le cas d’une demande particulièrement complexe ou en cas d’irrégularités ou d’abus manifeste de la personne concernée dans l’exercice de ses droits, lorsque le traitement d’une demande est susceptible d’engendrer un risque élevé pour les droits et libertés d’autres personnes concernées ou lorsque la personne concernée prétend que le traitement est illicite, le responsable opérationnel du traitement consulte le DPD.

Article 16

Réclamations au titre de l’article 90

En cas de réclamation au sens de l’article 90 du statut concernant une question se rapportant au traitement de données à caractère personnel (ci-après dénommée «réclamation au titre de l’article 90»), l’autorité investie du pouvoir de nomination consulte le DPD. Sans que cela ne remette en cause la recevabilité de la réclamation au titre de l’article 90, le membre du personnel du SGC indique dans ladite réclamation si une réclamation a été introduite en parallèle auprès du CEPD. Le DPD rend son avis par écrit au plus tard quinze jours ouvrables après réception de la demande de l’autorité investie du pouvoir de nomination. Si, au terme de ce délai, le DPD n’a pas communiqué son avis, il n’est plus requis. L’autorité investie du pouvoir de nomination n’est pas liée par l’avis du DPD.

SECTION 5

LIMITATIONS DES DROITS DES PERSONNES CONCERNÉES DANS LE CADRE DE L’EXERCICE DES MISSIONS DU DPD

Article 17

Exceptions et limitations

1.   Lorsque le Conseil ou le SGC exerce ses fonctions à l’égard des droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des exceptions établies dans ledit règlement s’applique.

2.   Sous réserve des articles 18 à 22 de la présente décision, le Conseil ou le SGC peut limiter, conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement (UE) 2018/1725, l’application des articles 14 à 17, 19, 20 et 35 dudit règlement, ainsi que du principe de transparence établi à son article 4, paragraphe 1, point a), dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19 et 20 dudit règlement, dans le cas où l’exercice de ces droits et obligations compromettrait l’exercice des missions du DPD, entre autres, en révélant ses outils et méthodes d’enquête ou d’audit, ou porterait atteinte aux droits et aux libertés d’autres personnes concernées.

3.   Sous réserve des articles 18 à 22 de la présente décision, le Conseil ou le SGC peut limiter les droits et obligations visés au paragraphe 2 du présent article en ce qui concerne les données à caractère personnel obtenues par le DPD auprès des directions générales ou services du SGC ou auprès d’autres institutions et organes de l’Union. Le Conseil ou le SGC peut agir de la sorte lorsque l’exercice de ces droits et obligations pourrait être limité par ces directions générales ou services du SGC ou par ces autres institutions ou organes sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement, au règlement (UE) 2016/794 du Parlement européen et du Conseil (10) ou au règlement (UE) 2017/1939 du Conseil (11).

Avant d’appliquer des limitations dans les circonstances visées au premier alinéa, le Conseil ou le SGC consulte les institutions ou organes concernés de l’Union à moins qu’il ne soit manifeste que l’application d’une limitation est prévue par l’un des actes visés à cet alinéa.

4.   Toute limitation des droits et obligations visée au paragraphe 2 est nécessaire et proportionnée, en tenant compte des risques qui pèsent sur les droits et libertés des personnes concernées.

Article 18

Communication d’informations aux personnes concernées

1.   Le SGC publie sur le site internet du Conseil des avis relatifs à la protection des données informant toutes les personnes concernées des missions du DPD qui impliquent le traitement de leurs données à caractère personnel.

2.   Le SGC informe individuellement, sous une forme appropriée, toute personne physique qu’elle considère comme une personne concernée par les missions du DPD.

3.   Lorsque le SGC limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2 du présent article, il enregistre et consigne les motifs de la limitation, conformément à l’article 21.

Article 19

Droit d’accès des personnes concernées, droit à l’effacement et droit à la limitation du traitement

1.   Lorsque le Conseil ou le SGC limite, entièrement ou partiellement, le droit d’accès des personnes concernées à leurs données à caractère personnel, le droit à l’effacement ou le droit à la limitation du traitement, prévus respectivement aux articles 17, 19 et 20 du règlement (UE) 2018/1725, il informe la personne concernée, dans sa réponse à la demande d’accès, d’effacement ou de limitation du traitement, de la limitation appliquée et des principaux motifs de cette limitation, ainsi que de la possibilité d’introduire une réclamation auprès du CEPD ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

2.   La communication d’informations relatives aux motifs de la limitation visée au paragraphe 1 peut être différée, omise ou refusée aussi longtemps que cela risque de nuire à la finalité de la limitation. Le Conseil communique les informations en question à la personne concernée dès qu’elles ne sont plus susceptibles de nuire à cette finalité.

3.   Le SGC enregistre et consigne les motifs de la limitation conformément à l’article 21.

Article 20

Communication à la personne concernée d’une violation de données à caractère personnel

Lorsque le Conseil ou le SGC limite la communication, à la personne concernée, d’une violation de données à caractère personnel visée à l’article 35 du règlement (UE) 2018/1725, le SGC enregistre et consigne les motifs de cette limitation conformément à l’article 21 de la présente décision.

Article 21

Enregistrement et consignation des limitations

1.   Le SGC enregistre les motifs de toute limitation appliquée en vertu de la présente décision, y compris une évaluation au cas par cas de la nécessité et du caractère proportionné de la limitation, en tenant compte des éléments pertinents de l’article 25, paragraphe 2, du règlement (UE) 2018/1725.

À cette fin, l’enregistrement indique de quelle manière l’exercice de l’un des droits visés aux articles 14 à 17, 19, 20 et 35 dudit règlement, ou du principe de transparence consacré à l’article 4, paragraphe 1, point a), dudit règlement, compromettrait les activités du DPD au titre de la présente décision ou des limitations appliquées en vertu de l’article 17, paragraphe 2 ou 3, de la présente décision, ou porterait atteinte aux droits et libertés d’autres personnes concernées.

2.   L’enregistrement et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés. Ils sont mis à la disposition du CEPD sur demande.

Article 22

Durée des limitations

1.   Les limitations visées aux articles 18, 19 et 20 continuent de s’appliquer aussi longtemps que les motifs qui les justifient restent applicables.

2.   Lorsque les motifs d’une limitation visée aux articles 18 et 20 ne sont plus applicables, le SGC lève la limitation et fournit les motifs de la limitation à la personne concernée. Dans le même temps, le SGC informe la personne concernée de la possibilité d’introduire une réclamation auprès du CEPD à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

3.   Le SGC réexamine l’application des limitations visées aux articles 18 et 20 tous les six mois après leur adoption et, dans tous les cas, à l’achèvement de la mission concernée du DPD. Après l’achèvement de la mission, le SGC vérifie chaque année la nécessité de maintenir les limitations ou les reports.

Article 23

Réexamen par le DPD

1.   Lorsque d’autres directions générales ou services du SGC concluent que les droits d’une personne concernée devraient être limités en vertu de la présente décision, ils en informent le DPD. Ils donnent également au DPD l’accès à l’enregistrement et à tout document contenant des éléments factuels et juridiques sous-jacents. La participation du DPD à l’application de limitations est documentée en détail.

2.   Le DPD peut demander au responsable délégué du traitement concerné de réexaminer l’application de la limitation. Le responsable délégué du traitement concerné informe le DPD par écrit du résultat du réexamen demandé.

SECTION 6

DISPOSITIONS FINALES

Article 24

Abrogation

La décision 2004/644/CE est abrogée.

Article 25

Entrée en vigueur

La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Fait à Luxembourg, le 28 juin 2021.

Par le Conseil

Le président

M. do C. ANTUNES


(1)   JO L 295 du 21.11.2018, p. 39.

(2)  Avis du 6 avril 2021 (non encore paru au Journal officiel).

(3)  Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

(4)  Décision 2004/338/CE, Euratom du Conseil du 22 mars 2004 portant adoption de son règlement intérieur (JO L 106 du 15.4.2004, p. 22).

(5)  Décision 2013/488/UE du Conseil du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne (JO L 274 du 15.10.2013, p. 1).

(6)  Décision du secrétaire général du Conseil/haut représentant pour la politique étrangère et de sécurité commune du 25 juin 2001 établissant un code de bonne conduite administrative pour le secrétariat général du Conseil de l’Union européenne et de son personnel dans leurs relations professionnelles avec le public (JO C 189 du 5.7.2001, p. 1).

(7)  Décision 2004/644/CE du Conseil du 13 septembre 2004 portant adoption de dispositions d’application en ce qui concerne le règlement (CE) no 45/2001 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 296 du 21.9.2004, p. 16).

(8)   JO L 56 du 4.3.1968, p. 1.

(9)  Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) no 1296/2013, (UE) no 1301/2013, (UE) no 1303/2013, (UE) no 1304/2013, (UE) no 1309/2013, (UE) no 1316/2013, (UE) no 223/2014, (UE) no 283/2014 et la décision no 541/2014/UE, et abrogeant le règlement (UE, Euratom) no 966/2012 (JO L 193 du 30.7.2018, p. 1).

(10)  Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).

(11)  Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).


Top